跨站式脚本(Cross-SiteScripting)XSS攻击原理分析_安全编程

危害
1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号
2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击

防范
1、必须明确：一切输入都是有害的，不要信任一切输入的数据。
2、缓和xss问题的首要法则是确定哪个输入是有效的，并且拒绝所有别的无效输入。
3、替换危险字符，如："&", "<", ">", """，"'", "/", "?"，";", ":", "%", "<space>", "=", "+"。各种语言替换的程度不尽相同，但是基本上能抵御住一般的xss攻击。

a.asp中的server.htmlencode： <%= server.htmlencode("the paragraph tag: <p>") %>
b.asp.net的server.htmlencode及server.urlencode： string teststring = "this is a <test string>.";
string encodedstring = server.htmlencode(teststring);
server.urlencode(request.url.tostring());
4、有些网站使用过滤javascript关键字的办法来防止xss，其实是很不明智的，因为xss有时候根本就不需要javascript关键字或者对javascript关键字进行格式变化来躲过过滤。

5、为所有的标记属性加上双引号。应该说这也不是万全之策，只是在转义了双引号的前提下的一道安全保障。比如：不加双引号时，onclick被执行了：
<a href=http://www.xxx.com/detail.asp?id=2008 onclick='javascrpt:alert('haha')'>
加上了双引号，onclick不会被执行：
<a href="http://www.xxx.com/detail.asp?id=2008 onclick='javascrpt:alert('haha')'">
6、将数据插入到innertext属性中，脚本将不会被执行。如果是innerhtml属性，则必须确保输入是安全的。如asp.net中：

OBLOG4.0 OBLOG4.5漏洞利用分析

来源：deepenstudy 漏洞文件：js.asp <% dimoblog setoblog=newclass_sys oblog.autoupdate... [阅读全文]

不错的一篇玩转arp的文章

以下讨论的机子有一个要攻击的机子：10.5.4.178 硬件地址：52:54:4c:98:ee:2f 我的机子：:10.5.3.69 硬件地址：52:54:4... [阅读全文]

Win32 下病毒设计入门详细说明

本文假定你对dos下的病毒和386pm有一定的了解。　　1、感染任何一个病毒都需要有寄主，把病毒代码加入寄主程序中（伴侣病毒除外）　　以下说明如何将病毒代码... [阅读全文]

超全的webshell权限提升方法

webshell权限提升技巧 c:d:e:..... c:\documentsandsettings\allusers\「开始」菜单\程序\ 看这里能不能跳转，... [阅读全文]

NET IIS暴绝对路径漏洞

title:microsoftasp.netmaydisclosewebdirectorytoremoteusersincertaincases descrip... [阅读全文]

Serv-U得到管理员密码新招 (转)

有时候我们在获得webshell后很高兴地用serv-u的本地权限提升漏洞来实现完全控制肉鸡的目的，但总会出错。我们在webshell输入的命令一般是这样的：d... [阅读全文]


验证码：

验证码：

跨站式脚本(Cross-SiteScripting)XSS攻击原理分析

2024年05月18日 • 安全编程 •我要评论

相关文章:

发表评论